보안뉴스 창간 19주년을 축하합니다!!

[단독] 대한민국 정부가 털렸다... 행안부·외교부·방첩사, 북한 추정 해킹에 국가안보 ‘비상’

2025-08-09 23:35
  • 카카오톡
  • 네이버 블로그
  • url
[3줄 요약]
1. 정부 부처들과 통신사, 내부망 및 이메일 대거 해킹
2. 6월 10일 해커 컴퓨터에서 탈취된 데이터 대량 발견
3. 리눅스 취약점 악용...중국 배후 가능성도 제기


[보안뉴스 강현주 기자] 북한 또는 중국 배후로 추정되는 해커 조직이 대한민국 행정안전부와 외교부, 방첩사를 타깃으로 대규모 해킹을 감행한 것으로 알려져 국가안보에 비상이 걸렸다. 국내 통신사도 같은 해커 조직으로부터 공격을 당한 것으로 드러났다.

9일 <보안뉴스> 취재에 따르면, 국가정보원은 행안부, 외교부, 방첩사에 북한 배후 해킹 집단 ‘김수키’의 공격 행위를 포착함에 따라 비상 대응령을 내리고 긴급 조치를 완료한 것으로 드러났다. 통신사 내부에도 해당 내용이 전달돼 대응에 나선 것으로 알려졌다.

해커 조직이 피싱, 지능형 지속 공격(APT) 등의 수법으로 정부부처의 내부 서버 및 네트워크, 이메일 플랫폼 등의 접속 권한을 대규모로 탈취한 것이다.


▲‘APT Down: The North Korea Files’ 보고서 [자료: 보고서 스크린샷]

리눅스 취약점 ‘Tomcat’ 악용 백도어 등 사용
이러한 대규모 해킹 공격 사건은 미국의 보안 연구 및 해킹 기술 전문 세계 권위의 잡지 ‘프랙’(Phrack)을 통해서도 한국 시간으로 8일 밤 11시에 발표됐다. ‘APT Down: The North Korea Files’라는 제목의 보고서에 따르면, 북한의 국가 배후 해커 조직 ‘김수키’ 소속으로 추정되는 해커의 컴퓨터에서 대한민국 행안부와 외교부, 국군방첩사령부, 국내 통신사의 내부 시스템 접속 계정 및 키가 방대한 양으로 저장된 데이터 ‘덤프’가 지난 6월 10일 발견됐다.

행안부의 경우 정부 내부 네트워크 시스템인 ‘온나라 시스템’이 공격당했다. 외교부는 이메일 플랫폼이 해킹됐다. 다만 외교부가 탈취 당한 데이터 중 일부는 현재 사용되지 않는 과거의 것으로 알려졌다. 방첩사는 스피어 피싱 공격 로그가 발견됐다. 통신사의 경우 원격 제어 서비스 시스템에 사용되는 인증서와 키가 대량으로 탈취되거나 내부 서버에 접속하는 비밀번호들이 대량 유출됐다.

이 보고서는 ‘Saber’라는 닉네임의 화이트해커가 ‘KIM’이라고 통칭된 공격자의 컴퓨터를 해킹해 찾아낸 내용을 토대로 작성한 것이다. 현재 다크웹에는 이번에 탈취된 정보들의 ‘덤프’(Dump) 일부가 공개돼 있다. 실제로 해당 사이트에 접속하면 공격자가 사용한 백도어와 공격 도구 및 탈취한 정보 등이 이 덤프 파일 내 포함돼 있음을 확인할 수 있다.

공격자는 리눅스 커널의 취약점 ‘Tomcat’을 악용한 원격 백도어를 사용했다. 또한 피싱 도구를 활용해 피해자를 가짜 로그인 페이지로 유도하고 로그인 정보를 탈취했다.


▲다크웹에 공개된 행안부·외교부·방첩사 및 통신사 해킹 관련 정보 및 탈취 데이터 [자료: 다크웹 스크린샷]

북한 지목했지만 중국 배후 가능성도 제기
공격자들은 탈취된 정보를 악용해 내부 시스템을 제어하고 기밀 정보 유출이나 조작 등의 공격을 가할 가능성이 있다는 점에서 파장이 클 것으로 보인다. 단기적으로는 추가 공격이 발생하지 않을 수 있지만, 추후 언제 어떻게 악용될지 알 수 없기 때문이다.

보고서 작성자는 공격자를 북한 배후의 ‘김수키’로 추정하고 있지만, 국내 주요 보안 전문가 사이에서는 북한보다는 중국 배후 공격일 가능성이 높다는 견해도 나오고 있다.

위협 모니터링 분야 한 전문가는 “공격자가 사용하는 언어적 특성, 공격 수법 등을 살펴보면 북한보다는 중국 배후일 가능성이 높아 보인다”고 분석했다.

보안 업계 한 관계자는 “대한민국 안보와 직결된 정부부처들과 주요 통신사들이 해킹 당한 사실이 드러나면서 국정원 등 정부 기관에서는 다크웹에 게시된 탈취 당한 정보를 내리는 데 총력을 기울이고 있다”며 “이번 해킹은 단순 정보 탈취를 넘어 국가 안보 근간을 흔들 수 있는 중대한 사안인 만큼 추가 피해가 발생하지 않도록 만전을 기해야 할 것”이라고 말했다.

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다누시스

    • 인콘

    • 제네텍

    • 핀텔

    • 아이비젼

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비전정보통신

    • 원우이엔지

    • 지인테크

    • 홍석

    • 이화트론

    • 지오멕스소프트

    • 테크스피어

    • 휴먼인텍

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 프로브디지털

    • 트루엔

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 엔텍디바이스

    • 위트콘

    • 아이원코리아

    • 다후아테크놀로지코리아

    • 한결피아이에프

    • 스피어AX

    • 구네보코리아주식회사

    • 포엠아이텍

    • 넥스트림

    • 안랩

    • 쿼드마이너

    • 팔로알토 네트웍스

    • 엑스퍼넷

    • 이글루코퍼레이션

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네티마시스템

    • 케이제이테크

    • 알에프코리아

    • 일산정밀

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 이스트컨트롤

    • 현대틸스
      팬틸트 / 카메라

    • 인더스비젼

    • 주식회사 에스카

    • 솔디아

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 보문테크닉스

    • 에이앤티글로벌

    • 한국아이티에스

    • 케비스전자

    • 레이어스

    • 모스타

    • 넥스텝

    • 엘림광통신

    • 이엘피케이뉴

    • 포커스에이아이

    • 신화시스템

    • 글로넥스

    • 메트로게이트
      시큐리티 게이트

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온바이오메트릭스

Copyright thebn Co., Ltd. All Rights Reserved.

시큐리티월드

IP NEWS

회원가입

Passwordless 설정

PC버전

닫기